Dispozitive expuse pe internet care oferă acces la nivelul BIOS? Ce ar putea să meargă prost?
Cercetătorii atrag atenția asupra riscurilor prezentate de dispozitivele accesibile ca preț, care pot oferi atât persoanelor autorizate, cât și hackerilor, puteri neobișnuit de extinse în compromiterea rețelelor.
Aceste dispozitive, cunoscute sub numele de IP KVM-uri, se vând de obicei între 30 și 100 de dolari și sunt adesea utilizate de administratori pentru accesul la distanță la mașinile din rețele. Aceste dispozitive, care nu sunt mult mai mari decât un pachet de cărți, permit accesul la nivelul BIOS/UEFI, firmware-ul care rulează înainte de încărcarea sistemului de operare.
Aceasta oferă putere și comoditate administratorilor, dar în mâinile greșite, aceste capacități pot sabota adesea securitatea unei rețele altfel sigure. Riscurile apar atunci când dispozitivele — care sunt expuse pe internet — sunt implementate cu configurații de securitate slabe sau sunt conectate în secret de către persoane din interior. Vulnerabilitățile firmware-ului le lasă, de asemenea, deschise preluării de la distanță.
Marți, cercetătorii de la firma de securitate Eclypsium au dezvăluit un total de nouă vulnerabilități în IP KVM-uri de la patru producători. Cele mai grave defecte permit hackerilor neautentificați să obțină acces root sau să ruleze cod rău intenționat pe acestea.
„Nu vorbim despre zero-day-uri exotice care necesită luni de inginerie inversă,” au scris cercetătorii Eclypsium, Paul Asadoorian și Reynaldo Vasquez Garcia. „Este vorba despre controale de securitate fundamentale pe care orice dispozitiv conectat la rețea ar trebui să le implementeze. Validarea intrărilor. Autentificarea. Verificarea criptografică. Limitarea ratei. Ne confruntăm cu aceeași clasă de eșecuri care au afectat dispozitivele IoT în urmă cu un deceniu, dar acum pe o clasă de dispozitive care oferă echivalentul accesului fizic la tot ce se conectează la acestea.”
HD Moore, un expert în securitate și fondatorul și CEO-ul runZero, a efectuat luni o scanare pe internet care a identificat puțin peste 1.300 de astfel de dispozitive, în creștere față de aproximativ 1.000 găsite în iunie anul trecut.
Moore a avertizat de mult timp asupra riscurilor prezentate de controlerele de gestionare de bază (BMCs), microcontrolerele atașate la placa de bază care permit administratorilor să acceseze de la distanță întregi flote de servere. El a spus că IP KVM-urile pot expune rețelele în mod similar.
„Problema centrală este că, dacă KVM-ul este compromis, este adesea ușor să preiei controlul asupra oricărui sistem la care este atașat KVM-ul, chiar dacă acel sistem este altfel securizat împotriva atacurilor de rețea,” a spus Moore într-un interviu. „Similar cu BMC-urile, orice defect pe partea ‘out-of-band’ subminează măsurile de securitate existente. Bug-urile specifice variază, dar rezultatul final este accesul la un server pe care cineva consideră că este suficient de important pentru a justifica gestionarea la distanță.”
Atât runZero, cât și Eclypsium recomandă administratorilor să scaneze și să verifice aceste dispozitive pentru a asigura integritatea rețelelor pe care le administrează.
Sursa: Ars Tehnica Technology
Poll: Care sunt riscurile asociate cu dispozitivele IP KVM expuse pe internet?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply